Trojan.Win32.Delf.abx

Trojan ten posiada szkodliw膮 funkcj臋. Ma posta膰 pliku PE EXE o rozmiarze 945664 bajt贸w. Nie zosta艂 w 偶aden spos贸b spakowany. Powsta艂 w j臋zyku programowania Delphi.

Instalacja

Po uruchomieniu trojan kopiuje si臋 w nast臋puj膮cy spos贸b:

%Documents and Settings%\%user%Start MenuProgramsStartupRavMonE.exe
%Documents and Settings%\%user%Start MenuProgramsStartupavp.exe
%System%RavMon.exe

Trojan tworzy nast臋puj膮cy klucz rejestru z danymi instalacyjnymi:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer m]

Tworzy r贸wnie偶 nast臋puj膮ce warto艣ci klucza rejestru systemowego:

[HKCRSoftwareMicrosoftInternet Account]
"Expire Days" = "dword:8"

[HKCRControl PanelDesktop]
"AutoEndTasks" = "1"

W celu zapewnienia sobie automatycznego uruchamiania si臋 wraz z ka偶dym restartem systemu trojan rejestruje sw贸j plik wykonywalny w rejestrze systemu:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"RavAV" = "%Documents and Settings%\%user%Start MenuProgramsStartupRavMonE.exe"
"RavMon" = "%System%RavMon.exe"

Funkcje szkodnika

Trojan ten jest programem rejestruj膮cym uderzenia klawiszy, kt贸ry dzia艂a r贸wnie偶 jako narz臋dzie zdalnej administracji. Posiada r贸wnie偶 funkcjonalno艣膰 robaka.

Trojan rozprzestrzenia si臋 za po艣rednictwem no艣nik贸w wymiennych.

Trojan kopiuje si臋 na no艣nik wymienny jako RavMonE.exe. Tworzy plik o nazwie autorun.inf, kt贸ry uruchamia plik wykonywalny trojana za ka偶dym razem, gdy u偶ytkownik otwiera zainfekowan膮 partycj臋 za pomoc膮 Explorera.

Je偶eli wymienione poni偶ej procesy s膮 obecne w systemie, trojan zamyka je:

cmmon32.exe
iexp1ore.exe
IEXPL0RE.EXE
iexpl0re.exe
Logo1_.exe
RUNDL132.EXE
rundl132.exe
Servera.exe
Servere.exe
SLcc.exe
wuauclt1.exe

S膮 to procesy zwi膮zane z innymi szkodliwymi programami.

Trojan instaluje funkcj臋 przechwytywania klawiatury przy u偶yciu biblioteki, kt贸r膮 tworzy w folderze tymczasowym Windowsa u偶ytkownika bie偶膮cego:

%Temp%h.tmp

Trojan 艣ledzi uderzenia klawiszy u偶ytkownika i zapisuje je w nast臋puj膮cym pliku:

%Temp%keys.log

Nast臋pnie dane te s膮 wysy艂ane do zdalnego szkodliwego u偶ytkownika na jeden z poni偶szych adres贸w e-mail:

ais@darch***.ru
ais@mail***.ru
apiit@***tmb.ru
artemov@***tmb.ru
biblme@***tmb.ru
bjd@***tmb.ru
bmt@***.ru
brodovich@sir***.ru
brusentsov@mail***.ru
chemistry@***.ru
coord@coord***.ru
crems@crems.jesby***.ru
cybertech@jesby***.ru
decan_hist@***tmb.ru
dmitr2002@***tmb.ru
dmsh@dmsh***.ru
docc@asp***.ru
eco@nnn***.ru
egorov@mail***.ru
elters@crimeinfo.jesby***.ru
ernest@***tmb.ru
feodorov@***tmb.ru
fmf@***tmb.ru
fmo@decin***.ru
frolov@nnn***.ru
frolow@mail.ahp***.ru
galygin@nis***.ru
gaps@gaps-gw***.ru
gena@des***.ru
golovin@***tmb.ru
gromov@is***.ru
helen@***tmb.ru
hist@nnn***.ru
ibr@libr***.ru
intep@ng***.ru
ipu@ahp***.ru
ivolgin@***tmb.ru
kafedra@asp***.ru
kafedra@mail.gaps***.ru
kalinin@nauka***.ru
kalinin@nauka2***.ru
kchic@kch***.ru
ket@ket***.ru
kmm@***tmb.ru
korenkov@***tmb.ru
kulikov@apmath***.ru
kurs_podg@***tmb.ru
kvidep@cen***.ru
kvipri@ce***.ru
kyv@ahp***.ru
kzis@kzis***.ru
law@gis***.ru
litovka@mail.sapr***.ru
lopatin@***tmb.ru
lvi@gidra***.ru
malaschonok@math-iu***.ru
mmf@mmf***.ru
msh@msh3***.ru
nat@evro***.ru
ns@***tmb.ru
olga@nnn***.ru
olimp@olimp***.ru
oord@coord***.ru
phys@mail***.ru
phys@phys***.ru
polymers@asp***.ru
polymers@babylon.jesby***.ru
portal@tstu.ru
post@mcms***.ru
post@ums***.ru
ppc@ppc***.ru
pr@nnn***.ru
PR@PR***.ru
pvp@phys***.ru
quality@asp***.ru
rector@***tmb.ru
resbn@jesby***.ru
root@msh***.ru
root@msh3***.ru
root@phys***.ru
sekr@nnn***.ru
sekr1@mail***.ru
Shibkov@***tmb.ru
slava@ahp-gw***.ru
soprm@mail***.ru
sport@sportkaf***.ru
sss@nnn***.ru
studklub@show***.ru
szhulikov@***tmb.ru
tmm-dm@tmm-dm***.ru
tmmsii@tmmsii.jesby***.ru
tolmat@teorm***.ru
topt@topt***.ru
tso@almamater-tv***.ru
tso@mail***.ru
tva@ul***.ru
tyurin@***tmb.ru
u0077@pisetski***.ru
uaa@hmd***.ru
uhachov@***tmb.ru
umo@nnn***.ru
umo@umo***.ru
uov@pk***.ru
vat@dzs***.ru
vera@vera***.ru
vk@mail***.ru
vk@midl***.ru
zheltov@***tmb.ru

Trojan rejestruje r贸wnie偶 swoj膮 aktywno艣膰 w nast臋puj膮cym pliku:

%Documents and Settings%Local SettingsTempcurse--.tmp

(date): data jest w formacie dd-mm-yyyy

Trojan ko艅czy r贸wnie偶 nast臋puj膮ce procesy zwi膮zane z zapor膮 sieciow膮 i rozwi膮zaniami antywirusowymi:

AAKSRV.EXE
AlogServ.exe
APVXDWIN.EXE
Avconsol.exe
Avengine.exe
avgamsvr.exe
avgcc.exe
avgemc.exe
AVGNT.EXE
AVGUARD.EXE
avgupsvc.exe
avgwb.dat
avp.exe
Avsynmgr.exe
AVWIN.EXE
bdagent.exe
bdlite.exe
bdmcon.exe
bdss.exe
cmdagent.exe
cpf.exe
FileMon.exe
FileMonNT.exe
FireWall.exe
Iface.exe
jpf.exe
jpfsrv.exe
KAVPF.exe
kfsensmonitor.exe
kfsnserv.exe
KillProcess.exe
kpf4gui.exe
lpfw.exe
lpfw.exe
mantispm.exe
mcagent.exe
mcdash.exe
Mcdetect.exe
Mcshield.exe
McTskshd.exe
mghtml.exe
Monitor.exe
MpfAgent.exe
MpfService.exe
MpfTray.exe
OllyDbg.EXE
outpost.exe
Pavfires.exe
PAVJOBS.EXE
Pavproxy.exe
Pavsrv51.exe
Regmon.exe
RegMonNT.exe
safensec.exe
ScanningProcess.exe
sdhelp.exe
snsmcon.exe
spyxx.exe
swdoctor.exe
Unamon.exe
UnaSvc.exe
VSHWIN32.EXE
VsMain.exe
vsserv.exe
VSStat.exe
wlinject.exe
xcommsvr.exe
zlclient.exe

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu o nazwie RavMonE.exe.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮ce pliki:
    %Documents and Settings%\%user%Start MenuProgramsStartupRavMonE.exe
    %Documents and Settings%\%user%Start MenuProgramsStartupavp.exe
    %System%RavMon.exe
    %Documents and Settings%Local SettingsTempcurse--.tmp
    %Temp%h.tmp
    %Temp%keys.log
    
  4. Usu艅 nast臋puj膮ce warto艣ci klucza rejestru systemowego:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer m]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "RavAV" = "%Documents and Settings%\%user%Start MenuProgramsStartupRavMonE.exe"
    "RavMon" = "%System% RavMon.exe"

    [HKCRSoftwareMicrosoftInternet Account]
    "Expire Days" = "dword:8"

    [HKCRControl PanelDesktop]
    "AutoEndTasks" = "1"

  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).